Vijf denkfouten over cybersecurity

Transcriptie

1 Vijf denkfouten over cybersecurity Een bestuurdersperspectief op cybersecurity ADVISORY kpmg.nl

2 2 Vijf Continuous denkfouten auditing over and cybersecurity continuous monitoring: The current status and the road ahead

3 Vijf denkfouten over cybersecurity 3 Inhoud Voorwoord Introductie 6 De vijf meest gemaakte denkfouten over cybersecurity 8 Komen tot een maatwerkaanpak 11 Hoe weet u als bestuurder hoe uw organisatie ervoor staat? 12 Tot slot 14

4 4 Vijf denkfouten over cybersecurity Voorwoord Dat cybersecurity belangrijk is voor elke organisatie, dat behoeft eigenlijk geen nadere toelichting. Vrijwel dagelijks bewijzen incidenten dat de risico s groot zijn en dat zowel individuele hackers als professioneel georganiseerde cybercriminelen zich roeren. Bestuurders staan dan ook voor de taak erop toe te zien dat binnen hun organisatie de juiste prioriteiten worden gesteld. Dat is voor velen echter niet eenvoudig omdat de wereld van cybersecurity wat ongrijpbaar is vanwege het technisch jargon en het gespecialiseerde karakter. Generalisten kunnen er maar moeilijk vat op krijgen. Bovendien is het lastig om hoofdzaken van bijzaken te scheiden terwijl berichten in de media bijdragen aan een angstcultuur waarin het beeld ontstaat dat vrijwel elke organisatie een willoze prooi is. Er wordt nauwelijks onderscheid gemaakt tussen oplichters op marktplaats.nl, hackers die een website platleggen of georganiseerde criminele groepen die met een stelselmatige strategie uit zijn op het stelen van bedrijfsgeheimen. Terwijl dat onderscheid van groot belang is, want niet alle organisaties zijn even aantrekkelijk voor deze verschillende typen van cybercrime. Mede doordat begrippen door elkaar heen lopen is cybersecurity een lastig thema voor menig bestuurder. Dat mag echter geen excuus zijn om het thema af te schuiven naar gespecialiseerde professionals. Het is juist essentieel dat bestuurders zelf actief sturen op drie aspecten van cybersecurity: (1) de financiële middelen ervoor, (2) een adequate governance en (3) het stimuleren van een cultuur waarin iedereen zich bewust is van zijn verantwoordelijkheden. Bestuurders staan voor de taak om in de complexiteit van dit thema gedegen afwegingen te maken en op zijn minst de juiste vragen stellen. Maar hoe doet u dat? Deze whitepaper geeft handvatten en brengt cybersecurity terug tot de basis. John Hermans KPMG Cybersecurity Lead Partner Gerben Schreurs Partner KPMG Forensic

5 Vijf denkfouten over cybersecurity 5 Wat is cybercrime en wie doet dit? Cybercrime is het geheel van illegale digitale activiteiten die zijn gericht op een organisatie. De term cybercrime omvat een ware wildgroei van doelen en aanvalsmethoden. Een goed begrip van de actor, de persoon of organisatie achter deze aanvallen, is essentieel voor effectief verweer tegen cybercrime. De actoren zijn in te delen in een viertal categorieën: 1 De eenvoudige hacker, gemotiveerd om te laten zien wat hij/zij allemaal kan; 2 De activist, gericht op het uitdragen van een gedachtegoed, vaak gedreven door een ideologie of gericht op het zaaien van angst, gedreven door politieke doelen; 3 Georganiseerde misdaad, gericht op direct geldelijk gewin (bijvoorbeeld door phishing) of indirect geldelijk gewin, gericht op het doorverkopen van bedrijfsgegevens; 4 Staten, gericht op het verbeteren van de geopolitieke positie of vergroting van de interne machtspositie. Het is van essentieel belang dat deze verschillende actoren verschillen in eigenschappen zoals type doelwit van de aanval, de middelen die de actor tot zijn/haar beschikbaarheid heeft alsook het aantal aanvallen welke uitgevoerd worden door deze actor. In een door het Nationale Cyber Security Centrum (NCSC) uitgegeven publicatie is een nadere analyse weergegeven van het cybersecuritybeeld in Nederland, alsmede een gedetailleerde beschrijving van voorkomende cyberactoren.

6 6 Vijf denkfouten over cybersecurity 01 Introductie Cybersecurity: wat u waarschijnlijk al weet De hoeveelheid data blijft exponentieel groeien. Belangrijker nog: de mate waarin organisaties data met elkaar delen via tal van interfaces en apparaten groeit eveneens exponentieel. The internet of things waarin miljarden apparaten variërend van tablets en smartphones tot betaalterminals, beveiligingsinstallaties, olievelden, gebouwbesturingssystemen en thermostaten aan elkaar zijn gekoppeld is eigenlijk al bijna geen toekomstscenario meer maar wordt in rap tempo realiteit. Het gevolg daarvan is dat de afhankelijkheden tussen organisaties steeds groter worden in een sterk genetwerkte samenleving. Organisaties stellen hun IT steeds meer open voor een breed scala toepassingen via alle denkbare (mobiele) apparaten en zijn daarmee voor hun databeveiliging mede afhankelijk van andere organisaties. Bovendien is de continuïteit van kernprocessen zowel maatschappelijk als binnen bedrijven steeds meer afhankelijk van IT. Een verstoring ervan al dan niet door moedwillige inbraak van buiten kan dan ook een grote impact hebben op de beschikbaarheid van diensten. Deze combinatie van ontwikkelingen is natuurlijk ook bekend bij malafide personen en/of organisaties. De aanvallen op netwerken van overheden en bedrijven nemen dan ook toe in aantal en ernst. Cybercriminelen doen dit vanuit verschillende motieven, variërend van uit de hand gelopen hobbyisme of geldelijk gewin tot Drie aandachtsgebieden voor effectieve maatregelen en met spionage of terroristische achtergrond. Dit noopt tot effectieve maatregelen. Organisaties moeten zich goed beschermen en maatregelen nemen om in geval van incidenten snel tot een goede respons te komen. De klassieke drie thema s preventie, detectie en respons verdienen daarbij aandacht (zie kader). Preventie Preventie begint met governance en organisatie. Het gaat naast technische maatregelen onder andere om het beleggen van de verantwoordelijkheid voor cybercrime in de organisatie en om bewustwordingstrainingen voor belangrijke medewerkers. Detectie Een organisatie kan door het monitoren van kritieke gebeurtenissen en centrale veiligheidsincidenten en -gebeurtenissen de technologische detectiemaatregelen versterken. Monitoring en data mining vormen samen een uitstekend instrument om vreemde patronen in het gegevensverkeer op het spoor te komen, te signaleren waar de aanvallen zich concentreren en de systeemprestaties te observeren. Respons Bij respons gaat het om het in werking stellen van een plan zodra zich een aanval voordoet. Bij een aanval moet de organisatie alle getroffen technologie direct buiten werking kunnen stellen. Bij de ontwikkeling van een respons- en herstelplan doet een organisatie er goed aan (informatie)beveiliging te zien als een continu proces en niet als eenmalige oplossing.

7 Vijf denkfouten over cybersecurity 7 Wat u misschien nog niet weet Tot zover alles wat u waarschijnlijk al weet over cybersecurity, want het thema mag zich de laatste jaren in veel belangstelling verheugen. Die aandacht is prima. Tegelijkertijd moeten organisaties zich niet gek laten maken. De media schetsen regelmatig een ongenuanceerd beeld van cybersecurity alsof veel organisaties een haast willoos slachtoffer zijn van cyberboeven. Daarbij wordt alles over één kam geschoren en dat leidt bij bedrijven hier en daar tot angst die niet op feiten is gebaseerd. Een MKB-bedrijf heeft een heel ander profiel dan een multinational en over veel van de in de media genoemde incidenten hoeft een MKB-bedrijf zich dan ook weinig zorgen te maken. De waarheid ligt dan ook genuanceerder dan het beeld in de media. De risico s zijn wel degelijk beheersbaar. Cybercriminelen zijn geen onoverwinnelijke genieën, en het ontbreekt overheden en ondernemingen zeker niet aan kennis om cybercrime te bestrijden. Maar we moeten ons wel realiseren dat honderd procent veiligheid een illusie is en dat het najagen van die honderd procent niet alleen tot frustratie zal leiden maar mogelijk ook tot schijnzekerheid. In feite moeten we cybersecurity gaan beschouwen als business as usual. Als een thema dat op dezelfde wijze aandacht verdient als bijvoorbeeld het risico op brand of fraude. Dit zijn thema s die gestructureerd worden aangepakt door het management, vanuit een risk management perspectief, en dus niet met de gedachte om een systeem te bouwen dat honderd procent waterdicht is. Voor cybersecurity is dat echter veelal nog vloeken in de kerk. We zijn er van overtuigd geraakt dat veel organisaties op een andere manier naar cybersecurity moeten kijken. Ze moeten niet redeneren vanuit angst voor wat er buiten gebeurt, maar redeneren vanuit eigen kracht. Vanuit de juiste overwegingen over risico s en het karakter van de eigen organisatie. Beheer en Organisatie Preventie Detectie Respons Toewijzen van verantwoordelijkheden voor Cybercrime Borgen van 24 x 7 stand-by crisis organisaties Inzetten van forensische analyse vaardigheden Verzorgen van training beveiligingsbewustzijn Processen Uitvoeren cybercrime respons test (simulatie) Uitvoeren procedures voor opvolging van incidenten Uitvoeren cybercrime respons plan Uitvoeren periodieke scans en penetratietesten Technologie Realiseren van adequate desktopbeveiliging Implementeren logging van kritieke processen Stoppen of verbreken van aangevallen IT-diensten Realiseren van netwerksegmentatie Implementeren centraal monitoren van beveiligingsincidenten

8 8 Vijf denkfouten over cybersecurity 02 De vijf meest gemaakte denkfouten over cybersecurity Cybersecurity heeft voor velen iets mysterieus. Dat is waarschijnlijk een van de redenen dat het thema niet altijd op de juiste wijze wordt benaderd. Op basis van onze praktijkervaringen gaan we in dit hoofdstuk in op de vijf meest voorkomende denkfouten over cybersecurity. 1 Denkfout: We moeten gaan voor 100% beveiliging Werkelijkheid: 100% zekerheid is onhaalbaar en ongewenst Vrijwel elke luchtvaartmaatschappij claimt dat vliegveiligheid de allerhoogste prioriteit heeft. Welbeschouwd is dat onmogelijk. Immers, als de veiligheid echt de hoogste prioriteit zou hebben, dan zou er geen vliegtuig meer opstijgen. Datzelfde geldt ook voor cybersecurity. Met name grote organisaties met een grote maatschappelijke bekendheid zullen een keer te maken krijgen met een incident waarbij informatie wordt ontvreemd of publiek gemaakt, of met een meer ingrijpende verstoring van bedrijfsprocessen. Hoge bomen vangen immers veel wind. satie én de crimineel (preventie), het signaleren en analyseren van de belangrijkste activa (detectie) en het opzetten van een organisatie die incidenten direct oppakt (respons). In de praktijk ligt de nadruk nu vaak op de preventie (het opwerpen van dikke en hoge muren die indringers moeten tegenhouden). Wie echter doordrongen is van het feit dat een volledige beveiliging een illusie is en dat cybersecurity business as usual is begrijpt direct dat er vooral ook meer nadruk moet zijn op een adequate respons. Organisaties moeten in staat zijn om na een incident variërend van diefstal van informatie tot een ontwrichtende aanval op de kernsystemen snel de zaken op orde te krijgen. Daarmee bewijzen ze dat ze in control zijn. 2 Denkfout: Als we investeren in bestof-class tools, dan zijn we veilig Werkelijkheid: Cybersecurity gaat minder om technologie dan u denkt De wereld van cybersecurity wordt gedomineerd door gespecialiseerde leveranciers die geavanceerde Alleen al de bewustwording dat een 100% bescherming tegen cybercrime geen haalbaar en wenselijk doel is, is een belangrijke stap op weg naar een effectiever beleid. Dat maakt immers de weg vrij om met de bril van een risicomanager te kijken naar een goede beveiliging tegen cybercrime. Daarbij gaat het om het analyseren van risico s vanuit het perspectief van de organiproducten verkopen waarmee organisaties indringers kunnen weren of tijdig opsporen. Die tools zijn essentieel voor een adequate beveiliging evenals een goede samenhang in de technologie (de architectuur) maar vormen niet het startpunt van een goed beleid voor cybersecurity: A fool with a tool is still a fool. De aanschaf van goede tools is namelijk juist de laatste stap in dat beleid. Goede beveiliging begint met het op orde krijgen van de processen voor cyber defense. Daarbij hoort ook dat de professionals in de IT-functie volledig doordrongen zijn van de noodzaak tot cybersecurity. Daarnaast gaat het om kennis en bewustzijn bij de eindgebruiker. De mens is en blijft zowel als IT-professionals als eindgebruiker - vaak de zwakste schakel als het gaat om veiligheid en investeren in de allerbeste tools is dan ook alleen maar zinvol als mensen hun verantwoordelijkheden op dit punt begrijpen. Social engineering - waarbij hackers het vertrouwen winnen van medewerkers door slim sociaal gedrag en daardoor toegangsrechten weten te krijgen tot systemen blijft een van de belangrijkste risico s. En daar is met technologie weinig tegen te doen. De juiste

9 Vijf denkfouten over cybersecurity 9 cultuur voor cybersecurity betekent ook dat er een open meldcultuur is waarin medewerkers zonder angst voor represailles melding kunnen doen van zaken die mis gaan. Juist daarom is het zaak dat bestuurders dit thema niet delegeren. Zij moeten oprechte interesse tonen en bereid zijn zich te verdiepen in de dilemma s die daarbij een rol spelen. Ze dienen het belang en de urgentie ervan uit te stralen naar de gehele organisatie, zodat er een cultuur kan ontstaan waarin medewerkers alert zijn op dreigingen. 3 Denkfout: Onze wapens moeten beter zijn dan die van de hackers Werkelijkheid: Het beveiligingsbeleid wordt primair door u bepaald, niet door de aanvallers De strijd tegen cybercrime is een typisch voorbeeld van een moeilijk te winnen ratrace. De aanvallers ontwikkelen steeds weer nieuwe methoden en technieken en de verdediger staat dan ook haast per definitie op achterstand. Zo lijkt het tenminste. Maar is dat wel zo? En is het dan wel zinvol om hijgend achter de vijand aan te lopen en nog betere tools in te zetten om hem buiten te houden? Natuurlijk is het zaak op zijn minst zo goed mogelijk bij te blijven in deze race en u goed te verdiepen in de (motieven en tactieken van) mogelijke aanvallers. Het is echter vooral ook verstandig om niet alleen maar in een reactieve rol te zitten maar in plaats daarvan het beleid ook vorm te geven vanuit het karakter van de eigen organisatie en een flexibele, proactieve houding in te nemen. Bestuurders dienen zich daartoe af te vragen waar de grote waarden in hun organisatie zitten en welke onderdelen essentieel zijn voor het bestaansrecht. Het beleid dient zich primair te richten op deze onderdelen, aangezien daar de grootste risico s zijn ten aanzien van kosten (reputatieschade, inkomstenderving, publiek worden intellectueel eigendom). Kortom: bestuurders mogen zich niet laten verblinden door de nieuwigheden in cybercrime, maar moeten vanuit de eigen organisatie redeneren. In feite gaat het voortdurend om het maken van een business case voor cybersecurity vanuit eigen kracht, en op basis daarvan een maatwerkaanpak met de juiste tools te ontwikkelen. Belangrijke vragen voor bestuurders zijn daarbij: Weten we voor wie we interessant zijn en waarom? Weten we welke risico s we op dit terrein bereid zijn om te accepteren (risk appetite) Hebben we inzicht in welke systemen de belangrijkste waarden (en ons bestaansrecht) liggen besloten? Wat die laatste vraag betreft: Een organisatie kan heel anders tegen de waarde van activa aankijken dan een crimineel. Het is dus belangrijk de waarde van activa te bekijken vanuit het perspectief van zowel de organisatie als dat van de crimineel 1. In dat opzicht moeten we ons ook realiseren dat het bedrijfsleven en de technologie zich in ketens hebben ontwikkeld en dat organisaties dus mede afhankelijk zijn van elkaars beveiliging. 4 Denkfout: We moeten streng controleren of de cybersecurity procedures worden nageleefd Werkelijkheid: Het vermogen om te leren is belangrijker dan het vermogen om te controleren Alleen een organisatie die in staat is om externe ontwikkelingen en plotselinge gebeurtenissen te vertalen naar het beleid door ervan te leren dus kan op langere termijn succes blijven boeken. Dat geldt op een breed terrein, en het geldt ook voor cybersecurity. De praktijk laat zien dat cybersecurity sterk wordt gedreven door compliance. Dat is begrijpelijk, want veel organisaties hebben te maken met verplichtingen vanuit een breed scala aan wet- en regelgeving. Het is echter contraproductief om compliance als een doelstelling van het cybersecuritybeleid te zien. 1 Zie ook Een genuanceerde visie op cybercrime, KPMG 2012

10 10 Vijf denkfouten over cybersecurity Het gaat immers bij cybersecurity niet alleen om het vermogen om te controleren maar ook om het vermogen om te leren. Dat betekent concreet onder andere het volgende: Organisaties moeten inzicht hebben in hoe de dreigingen en patronen in de omgeving zich ontwikkelen en daarop anticiperen; een scherp zicht hierop is vaak een veel betere versterking van de veiligheid dan het opwerpen van nog hogere muren door tools. Dat gaat verder dan monitoring van infrastructuren, het gaat om een slimme analyse van ontwikkelingen buiten de organisatie waarmee men patronen combineert. Dit aspect is vaak onderbelicht en biedt mogelijkheden om op kosteneffectieve wijze de veiligheid op een hoger niveau te krijgen. De praktijk is helaas dat veel organisaties teveel het wiel zelf uitvinden en te weinig gebruik maken van de kennis die er al is. Organisaties moeten zorgen dat incidenten ook worden geëvalueerd zodat er lering kan worden getrokken uit deze incidenten. De praktijk is echter dat er bij een incident nog te vaak in een paniekmodus wordt gehandeld. Daardoor is de reactie niet alleen suboptimaal paniek is vaak fnuikend voor daadkracht maar gaat ook het leereffect verloren. Als er goede feedback loops zijn, wordt het mogelijk om niet alleen maar brandjes te blussen maar ook om op basis van de ervaring met die brandjes te komen tot een betere brandpreventie. Datzelfde geldt ook voor de monitoring van aanvallen van buiten. In veel gevallen zijn er prima mogelijkheden geïmplementeerd voor monitoring, maar staat deze monitoring teveel in een isolement ten opzichte van de rest van de organisatie. Van de opgedane informatie wordt niet of onvoldoende geleerd. Bovendien vergt monitoring ook een goed doordachte focus: Pas als je goed weet wat je wilt monitoren, wordt monitoring een goed middel om aanvallen tijdig in het vizier te krijgen. Organisaties dienen de informatievoorziening over cybersecurity te structureren. Dit vergt onder andere 5 een betere informatievoorziening aan bestuurders: nagaan wanneer wel/niet escalatie naar boven nodig is en het bestuur een goed inzicht met de juiste mate van detail geven in welke risico s er spelen en hoe relevant deze op strategisch niveau zijn. Denkfout: We moeten de beste professionals aantrekken om ons te wapenen tegen cybercrime Werkelijkheid: Cybersecurity is geen afdeling maar een houding Cybersecurity wordt vaak gezien als de verantwoordelijkheid van een afdeling gespecialiseerde professionals. Dat doet echter geen recht aan de uitdaging en heeft bovendien het risico van schijnzekerheden. Want de rest van de organisatie beschouwt het niet als hun probleem als er incidenten optreden en de reflex is dan vaak om te investeren in verdere versterking van die afdeling. Dat is een heilloze weg. De echte uitdaging zit erin om cybersecurity te integreren in alles wat je doet. Dat betekent bijvoorbeeld dat cybersecurity een onderdeel is van het HR-beleid met in sommige gevallen zelfs een koppeling met het beloningsbeleid. Het betekent ook dat cybersecurity een centrale plaats moet krijgen bij de ontwikkeling van nieuwe IT-systemen en niet, zoals vaak gebeurt, op het einde van zo n project pas aandacht krijgt.

11 11 Telelens op de toekomst Vijf denkfouten over cybersecurity Komen tot een maatwerkaanpak De risico s zijn bij een lokale ondernemer van een heel ander kaliber dan bij een wereldwijd opererende multinational. Bij de laatste is de zichtbaarheid voor criminelen groter, is de afhankelijkheid van IT hoger, en staan er grotere belangen en (reputatie)risico s op het spel. In beide gevallen is het echter nodig om vanuit de typologie van de eigen organisatie, de risicobereidheid en de kennis te komen tot een maatwerkaanpak. Dat is echter precies waar het aan schort. In dit verband is het zinvol om de vergelijking te maken met hoe een juwelier komt tot een goede diefstalbeveiliging. De onderstaande tabel biedt dan ook zowel een MKB-onderneming als een multinational een kritische spiegel. Perspectief van juwelier op diefstalbeveiliging Ik weet welke waarden ik moet beschermen en stem mijn maatregelen daarop af. Ik zie diefstal als het risico van het vak en weet dat ik niet meer in business ben als ik 100% zekerheid wil. Ik focus op maatregelen die voorkomen dat er iemand naar buiten gaat met waardevolle spullen. Ik laat me niet gek maken door leveranciers van beveiligingsmiddelen en bepaal zelf wel wat ik aanschaf. Ik trek lering als het (bijna) fout gaat. Ik train medewerkers over hoe ze de risico s van diefstal kunnen verkleinen en spreek hen erop aan als ze fouten maken. Ik investeer in middelen omdat dat mijn bestaansrecht is. Veel voorkomend perspectief op cybersecurity Ik neem maatregelen zonder een goed beeld te hebben van welke waarden essentieel zijn om te beschermen. Ik zie cybercrime als iets exotisch en streef naar 100% zekerheid. Ik focus op maatregelen die voorkomen dat er iemand binnenkomt en vergeet om maatregelen te nemen die tegengaan dat er informatie naar buiten gaat. Ik laat mijn security beleid sterk afhangen van de beschikbare middelen op de markt zonder precies te weten wat ik nodig heb. Ik schiet in de paniek als het (bijna) fout gaat. Ik beschouw cybersecurity vooral als een zaak van gespecialiseerde professionals en wil er de rest van de organisatie niet teveel mee lastig vallen. Ik investeer in middelen omdat dat verplicht is en omdat er elke dag incidenten staan in de media.

12 12 Vijf denkfouten over cybersecurity 04 Hoe weet u als bestuurder hoe uw organisatie ervoor staat? Als bestuurder wilt u weten of uw organisatie een adequaat beleid heeft voor cybersecurity. KPMG gaat daarbij uit van een model dat op zes dimensies een visie oplevert. Legal & Compliance Leadership Human Factors Leiderschap en governance Bestuurders dienen in woord en daad te laten zien dat ze zich eigenaar voelen van het thema en laten zien dat ze de ermee samenhangende risico s adequaat willen managen. Gedragsfactoren Cybersecurity heeft niet (alleen) te maken met de juiste technische maatregelen, maar ook met het creëren van een cultuur waarin mensen alert zijn en zich bewust zijn van hoe zij kunnen bijdragen aan veiligheid. Ops & Technology Info Risk Mgmt Information Risk Management Een adequate aanpak voor alomvattend en effectief risicomanagement ten aanzien van informatievoorziening, ook in relatie tot partnerorganisaties. Business Continuity

13 Vijf denkfouten over cybersecurity 13 Business Continuity en Crisis Management Een goede voorbereiding op eventuele incidenten en het vermogen om de impact van deze incidenten te minimaliseren. Dit omvat onder meer crisis- en stakeholdermanagement. Beheersmaatregelen en controls De implementatie van controle- en beheersingsmaatregelen in de organisatie om risico s van cybersecurity te identificeren en de impact van incidenten te minimaliseren. Juridisch Het voldoen aan wet- en regelgeving ten aanzien van informatiebeveiliging. Het toepassen van dit holistische model levert organisaties het volgende op: Het minimaliseren van het risico dat een organisatie wordt getroffen door een cyberaanval van buiten en het minimaliseren van de eventuele gevolgen van een succesvolle aanval. Betere beslissingen op het gebied van cybersecurity: de informatievoorziening over maatregelen, aanvalspatronen en incidenten wordt daartoe geoptimaliseerd. Heldere communicatielijnen over het thema cybersecurity. Iedereen kent zijn verantwoordelijkheden en weet wat er moet gebeuren als er (vermoedens van) incidenten zijn. Een bijdrage aan een betere reputatie. Een organisatie die goed is voorbereid en goede afwegingen over het thema cybersecurity heeft gemaakt kan op vertrouwenwekkende wijze communiceren over dit thema. Het verhogen van de kennis en competenties over cybersecurity. Het benchmarken van de organisatie op het gebied van cybersecurity in relatie tot peers. Leadership and Governance Board demonstrating due diligence, ownership and effective management of risk. Information Risk Management The approach to achieve comprehensive and effective risk management of information throughout the organization and its delivery and supply partners. Operations and Technology The level of control measures implemented to address identified risks and minimize the impact of compromise. Human Factors The level and integration of a security culture that empowers and ensures the right people, skills, culture and knowledge. Business Continuity and Crisis Management Preparations for a security event and ability to prevent or minimize the impact through succesful crisis and stakeholder management. Legal and Compliance Regulatory and international certification standards as relevant.

14 14 Vijf denkfouten over cybersecurity 05 Tot slot... tijd voor actie Cybersecurity is zeker een thema dat u als bestuurder op uw agenda moet hebben staan. Zowel uw toezichthouders, raad van commissarisleden als aandeelhouders verwachten dat u voldoende aandacht heeft voor deze steeds groter wordende problematiek. Daarom is het noodzakelijk om de volgende vragen te beantwoorden voor uw organisatie: 1 Hoe groot is het risico voor mijn organisatie, alsmede de organisaties waar ik zaken mee doe? Startpunt van uw verkenning van dit probleem, is het bepalen van het risicoprofiel van uw organisatie. Hoe interessant is uw organisatie voor potentiële cybercriminelen? Hoe afhankelijk is uw organisatie van de dienstverlening van andere organisaties. En tenslotte hoeveel risico wilt u als organisatie lopen? Immers 100% veiligheid bestaat niet! Bij deze een paar kernvragen die u kunt gebruiken voor het bepalen van uw risicoprofiel alsook risk appetite: Weten we welke processen en/of systemen de grootste waarde vertegenwoordigen vanuit het perspectief van cybersecurity? Hebben we wel bewust nagedacht over hoeveel risico s we voor deze processen en/of systemen bereid zijn te accepteren? (risk appetite) Hoe geïntegreerd / afhankelijk is de dienstverlening van de organisatie met / van dienstverlening van partners (toeleveranciers, klanten) en wat is de mate van integratie van de ondersteunende IT processen? Hebben deze partners een zelfde beeld over de risk appetite en de daarop afgestemde maatregelen op het gebied van cybersecurity? Ontwikkelen we duidelijke business cases voor onze investeringen in cybersecurity?

15 Vijf denkfouten over cybersecurity 15 2 Technologie is niet het antwoord, het antwoord is gelegen in de combinatie van governance, cultuur en gedrag. En u als bestuurder heeft daar een belangrijke rol. Zonder uw commitment zal een gedrags- en cultuurverandering in uw organisatie niet plaatsvinden. Kernvragen die in dit kader relevant zijn om te beantwoorden: Hebben we zicht op hoe onze organisatiecultuur bijdraagt (of juist een belemmering vormt) voor goede cybersecurity? Wanneer hebben we als bestuur voor het laatst zelf iets gecommuniceerd over (het belang van) cybersecurity? Zijn we voorbereid om te handelen bij een crisis of incident? Weten wie wie en hoe we moeten communiceren? En kunnen we dan aan stakeholders verantwoording afleggen over hoe ons beleid voor cybersecurity eruit ziet? 3 Hoeveel budget moet u als organisatie vrijmaken en waar aan te besteden? Afhankelijk van het risicoprofiel van uw organisatie, kan het budget voor cybersecurity oplopen tot 3 tot 5% van uw totale IT budget. Op dit moment wordt vaak een significant deel besteed aan het implementeren van technologische oplossingen alsmede het oplossen van problemen uit het verleden. Kernvraag die hier te beantwoorden is: Hoeveel van ons budget gaat naar het oplossen van problemen uit het verleden en hoeveel naar structurele investeringen in betere veiligheid (security by design) van systemen? Maar dit is slechts een deel van de oplossing. Zonder een goede governance, goede cyber security processen en natuurlijk ruime aandacht voor de bewustwording en cultuurverandering, zullen deze technologische oplossingen hun waarde niet bewijzen. Kortom, stel u eens de vraag: Hoeveel van ons budget voor cybersecurity gaat naar systemen en tools, en hoeveel naar bewustwording en cultuurverandering? Kortom, tijd voor actie! Deze publicatie is tot stand gekomen met dank aan: Peter Kornelisse, Koos Wolters, Dennis van Ham, Ronald Heil, Harald Oymans, Stan Hegt en Tamara Kipp.

16 Contact John Hermans KPMG Cybersecurity Lead Partner T: +31 (0) E: Gerben Schreurs Partner KPMG Forensic T: +31 (0) E: schreurs. KPMG Laan van Langerhuize DS Amstelveen P.O. Box DC Amstelveen De in dit document vervatte informatie is van algemene aard en is niet toegespitst op de specifieke omstandigheden van een bepaalde persoon of entiteit. Wij streven ernaar juiste en tijdige informatie te verstrekken. Wij kunnen echter geen garantie geven dat dergelijke informatie op de datum waarop zij wordt ontvangen nog juist is of in de toekomst blijft. Daarom adviseren wij u op grond van deze informatie geen beslissingen te nemen behoudens op grond van advies van deskundigen na een grondig onderzoek van de desbetreffende situatie., ingeschreven bij het handelsregister in Nederland onder nummer , is een dochtermaatschappij van KPMG Europe LLP en lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative ( KPMG International ), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG, het logo en cutting through complexity zijn geregistreerde merken van KPMG International.